none
ws2019, stanice win10 GPO se neaplikuji na skupiny RRS feed

  • Dotaz

  • Zdravim vsechny, stejny problem tu uz nekdo resil pro ws2008, pomohlo mu restartovat stanice, to jsem ale zkousel a nepomaha nic. GPO se aplikuji v pripade, ze zadavam jednotlive uzivatele / pocitace. Kdyz zadam skupiny uzivatelu / pocitacu, GPO se neuplatni. Ani po odhlaseni / prihlaseni, restartu ani po zadani gpupdate nebo gpupdate /force. :(
    neděle 1. září 2019 6:11

Všechny reakce

  • A co na to říká Event Log GPO Processing? Nejedná se o chybu, kdy nemáte u politik výchozí Read práva?
    neděle 1. září 2019 8:16
    Vlastník
  • A proc aplikujes na skupiny? GPo se aplikuji na OU a v nich obsazene Computers a/nebo Users.

    Gistoricky nazev GROUP policy jiz se skupinami nema nic spolecneho tem pochazi z pre-AD (LDAP) dob.

    MP

    P.S. I GPo podporuji ACLs, takze zde muzes operovaty se skupinami ... ale zvaz, zda se v tom vyznas

    neděle 1. září 2019 16:56
    Moderátor
  • mozna poznamka - pokud se snazis udelat security filtering na skupinu uzivatelu, MUSI byt tato GPO citelna pro objekt typu Computer.

    Obecne plati - nechat GPO citelne pro authenticated users, a aplikovat GPO na zvolenou skupinu (pocitacu, nebo uzivatelu)

    viz napr. http://www.rebeladmin.com/2018/04/group-policy-security-filtering/

    Jak psal MP - pokud ti neni jasne filtrovani, radeji nepouzivej. Pouzivej GPO na OU a "nepoustej se do zadnych vetsich akci" :)


    neděle 1. září 2019 20:25
  • Pokud schema (OUs) AD nesedi na schema firmy, je neco spatne. A pokud sedi, a presto neni mozne pouzit GPo na OUs, je neco megaspatne.

    Osobne pouzivam ACLs (security filtering) na GPo fakt vyjimecne a spis na testovani

    MP

    pondělí 2. září 2019 7:42
    Moderátor
  • Zdravim vsechny, diky za reakce. Na OU neaplikuji (neaplikoval jsem) protoze organizace je mala, neni treba ji clenit. Pri predstave, ze misto cileni pravidla pomoci uctu a skupin, budu pro kazdou kombinaci zavadet OU mne jima hruza z neprehlednosti a napada otazka, jak do dvou OU dostanu tutes skupinu.

    Druha vec, z niceho nic mi stare cileni zacalo fungovat (zkousel jsem i na OU, ale take nechodilo). Poplach ale nerusim. Rad bych to delel "spravne" tedy tak, jak to MS zamyslel. Take hrozi dost realna moznost, ze to stejne z niceho nic zase chodit prestane. Cili jestli mate nejakou radu, ci odkaz na clanek, video, cokoliv, kde bude popsano neco vic, nez linknuti jednoho pravidla, budu vdecny.

    Honza

    úterý 10. září 2019 14:11
  • Hafajz,
    AD je zalozene na LDAP, tedy na DC a pak (na urovni domeny) na OUs. Nauc se s tim zit, nebo pouzivej Windows NT 4.

    Muzes vymyslet kolo a utahovat hrebiky pilou. Ale tve problemy budou natolik uch*lne, ze ti s nimi nikdo nepomuze.

    Mozna se ti to zda tvrde, ale treba me nekdo podpori

    MP

    úterý 10. září 2019 16:48
    Moderátor
  • Mohu v základu doporučit kurz na GOPASu nebo například sérii článků https://www.samuraj-cz.com/clanek/group-policy-rizeni-aplikace-politik/.
    úterý 10. září 2019 17:58
    Vlastník
  • Neni treba (ta podpora), ja Vam verim. Snad je z vyse uvedeneho patrne, ze se nechci mermo moci drzet toho, jak jsem to delal do ted. I kdyz to vsude na ws2008-2012r2 funguje perfektne. Shanim informace, jak to delat na ws2019 spravne. Ze mi Vami doporucovana reseni pripadaji strasne "pres ruku" nezminuji proto, abych nejak dehonestoval Vase znalosti, ale proto, ze je klidne mozne, ze je spatne chapu. Z toho duvodu shanim rady, navody, videa, zkusenosti ze kterych si krizove udelam snad spravny obrazek o tom, jak to udelat s jiz vynalezenym kolem a bez pily.

    Je to takhle jasnejsi?

    Honza

    středa 11. září 2019 6:07
  • Diky, samuraje znam, myslim, ze jsem vzdy postupoval jak je tam popsano, ale uz je to dost davno, treba cas zapracoval a nejak jsem si to zkomolil, prectu znovu. Na ty kurzy se take mrknu, maji-li neco k tomuto tematu.

    Diky.

    pátek 13. září 2019 9:56